Pular para o conteúdo
Última atualização: 2022-05-03

Perguntas frequentes sobre a instalação da sincronização do Active Directory

'Encontre respostas para perguntas comuns sobre a instalação e configuração da sincronização do Active Directory (AD) no Sophos Central Admin.'

A sincronização do AD permite que você implemente um serviço que mapeia usuários, dispositivos e grupos do AD para o Sophos Central Admin e os mantêm sincronizados. Para isso, use o Active Directory Synchronization Setup.

As perguntas frequentes estão em duas partes.

  • Esta página contém informações gerais sobre o Active Directory Synchronization Setup, instalação, plataformas suportadas, erros de sincronização, alteração de serviços de diretório e remoção do AD Synchronization.

  • Para obter informações gerais sobre a sincronização do AD no Sophos Central Admin, consulte Perguntas frequentes sobre sincronização do Active Directory.

??? faq "O que é Active Directory Synchronization Setup?”

O Active Directory Synchronization Setup importa os seguintes objetos do AD:

-   Nome de usuário
-   Login
-   Endereço de Email
-   Grupos e os membros de cada grupo

O Active Directory Synchronization Setup funciona da seguinte forma:

-   Ele sincroniza usuários e grupos de usuários ativos.

    Ele não duplica usuários ou grupos existentes quando correspondem com um usuário ou grupo existente do Sophos Central. Por exemplo, ele pode adicionar um endereço de e-mail do AD a um usuário existente no Sophos Central.

-   Ele só cria grupos com mais de um membro.
-   Ele sincroniza dispositivos e grupos de dispositivos. Você pode encontrar informações sobre como ele combina dispositivos e grupos e outras informações úteis em [Perguntas frequentes sobre descoberta de grupos de dispositivos](DGDFAQ.md).

Você pode encontrar mais informações sobre como a sincronização funciona nas [Perguntas frequentes sobre sincronização do Active Directory](ADSyncFAQ.md).

??? faq "O que o Active Directory Synchronization Setup espera do AD?”

Para sincronizar uma floresta inteira do AD, você precisa fornecer credenciais do Active Directory para um usuário com permissões para toda a floresta.

Na raiz da árvore de diretórios do servidor host, você precisa do seguinte:

-   Um atributo chamado `rootDomainNamingContext` que contém o nome do domínio (DN) da raiz da floresta do AD.
-   Um atributo chamado `defaultNamingContext` que contém o DN do servidor host.

Você também precisa de uma coleção de entradas em `CN=Partitions`, `CN=Configuration` e `<rootDomainNamingContext>` com uma ou mais entradas contendo o seguinte:

-   um atributo `netBiosName`
-   um atributo `dnsRoot`
-   um atributo `nCName`

Para cada uma dessas entradas, incluímos o valor do seu atributo `nCName` (é um DN) em áreas para pesquisa (mas somente se o DN não for um DN ancestral do servidor host especificado no Active Directory Synchronization Setup).

??? faq "Qual é o número máximo de objetos que posso sincronizar de uma vez?”

O número máximo de objetos AD que testamos é 30.000.

Se você tiver mais objetos do que isso, levará mais tempo para sincronizar com o Sophos Central.

A interface de usuário responderá mais lentamente se você tiver mais de 40.000 entradas de usuário no seu ambiente.

??? faq "Quais plataformas são suportadas?”

Você pode instalar e executar o Active Directory Synchronization Setup nas seguintes plataformas:

-   Windows 7
-   Windows 8.1
-   Windows 10
-   Windows 11
-   Windows Server 2008 R2
-   Windows Server 2012
-   Windows Server 2012 R2
-   Windows Server 2016
-   Windows Server 2019
-   Windows Server 2022

!!! info "Restrição"

    Só oferecemos suporte a versões de 64 bits.

Você pode instalar o Controlador de Domínio (DC) nas seguintes plataformas:

-   Windows Server 2019
-   Windows Server 2016
-   Windows Server 2012 R2
-   Windows Server 2012
-   Windows Server 2008 R2

??? faq "Posso sincronizar várias florestas do AD?”

Não é possível sincronizar várias florestas com uma conta do Sophos Central Admin. Você só pode usar uma cópia do Active Directory Synchronization Setup para uma conta do Sophos Central Admin. Você pode selecionar vários domínios filhos em uma única floresta. Não é possível selecionar várias florestas.

O Active Directory Synchronization Setup calcula deltas de sincronização no nível do locatário. Se quiser sincronizar várias florestas, você precisa segregar as florestas em sub-estados do Sophos Central Enterprise separados. Isso dá a cada floresta uma conta do Sophos Central Admin separada. Em seguida, você pode usar uma conta separada do Active Directory Synchronization Setup para sincronizar cada floresta. Cada floresta é sincronizada com a sua própria conta do Sophos Central Admin. Você pode gerenciar essas contas no Sophos Central Enterprise.

Você também precisa garantir que os usuários e endereços de e-mail sejam exclusivos em cada sub-estado do Sophos Central Enterprise.

??? faq "Onde posso fazer o download do Active Directory Synchronization Setup?”

Consulte [Configurar sincronização com o Active Directory](index.md).

As atualizações subsequentes são feitas automaticamente no Active Directory Synchronization Setup. Cada vez que você sincroniza, ele verifica se há uma versão posterior.

??? faq "Como instalo o Active Directory Synchronization Setup?”

Consulte [Baixar o software de configuração e validar as credenciais](index.md#download).

??? faq "Como eu movo servidores de sincronização do Active Directory?”

Consulte [Mova os servidores de sincronização do Active Directory](index.md#move-servers).

??? faq "Como removo a sincronização do Active Directory?”

Consulte [Purgar dados do Active Directory sincronizados](DeleteSyncData.md).

??? faq "Por que vejo '???' em vez de UTF16 ou caracteres de byte duplo?”

A pré-visualização no Active Directory Synchronization Setup não pode mostrar caracteres de byte duplo.

![Exemplo de problema de exibição de caracteres](../../../images/ADSyncCharactersIssue.png)

Todos os dados são enviados e exibidos no Sophos Central. Esse problema afeta a janela de pré-visualização ou alterações pendentes no Active Directory Synchronization Setup.

Planejamos resolver isso em uma versão futura do Active Directory Synchronization Setup.
Erro: O objeto não existe.

Se você tiver um filtro personalizado definido no Active Directory Synchronization Setup e remover a Unidade organizacional (OU) do AD, verá os seguintes erros:

Falhou
    Sincronização do Active Directory. Razão: SophosCloudADSyncLib.DisplayableException: Erro
    ao fazer uma solicitação por LDAP. Please review the connection settings you specified. O servidor LDAP
    retornou o seguinte erro: 0000208D: NameErr: DSID-03100213, problem 2001
(NO_OBJECT), data 0, best match of:

System.DirectoryServices.Protocols.DirectoryOperationException: The object does not exist.

O erro não faz referência ao nome da OU removida. Para resolver esse erro, você precisa revisar todos os filtros configurados em Filtros AD. Para isso, siga este procedimento:

  1. Clique em Definir filtros.

  2. Remova todos os filtros que fazem referência a objetos removidos do seu AD.

??? error "Erro: Falha de sincronização do Active Directory”

A mensagem de erro é `Error: Failed active directory synchronization. Characters with hexadecimal values 0xFFFE and 0xFFFF are not valid`.

Esse erro pode ser visto na etapa **Visualizar e Sincronizar** quando você executa o Active Directory Synchronization Setup manualmente.

O AD pode conter caracteres inválidos. Quando o Active Directory Synchronization Setup visualiza os dados que precisam ser sincronizados, ela falha com esse erro.

Para ignorar esse erro, use **Sync on Schedule - automatic (within next 2-3 minutes)**. Isso ignora a etapa de visualização. A sincronização deve ser bem-sucedida.
Erro: Erro ao sincronizar registro

A mensagem de erro é Error: Error syncing record: Error deleting login...Reason: foreign key endpoint_user_sessions.user_match_id.

Você pode receber esse erro se houver um problema ao remover um login associado a um usuário que foi removido ou desativado no Active Directory. A sincronização continua e termina mesmo se esse erro for exibido.

Não é possível remover esse erro até que ele seja resolvido no Sophos Central Admin.

Erro: Falha ao validar parâmetros de configuração

A mensagem de erro é Error: Failed to validate configuration settings. Reason: Unable to access Active Directory.

Essa falha indica que o Active Directory Synchronization Setup não pode se conectar ao seu Active Directory usando as credenciais ou a conexão fornecidas. Tente o seguinte:

  • Verifique se suas configurações estão corretas (em Configuração do AD no Active Directory Synchronization Setup) e se você forneceu credenciais que têm acesso a toda a floresta (os usuários Enterprise Admin normalmente têm esse acesso).
  • Se o seu ambiente LDAP não suporta SSL, você precisa desativar Usar LDAP seguro e alterar o número da porta de acordo. Nós não recomendamos fazer isso.
  • Tente se conectar ao AD com uma ferramenta de sincronização do AD separada, como o LDP.EXE da Microsoft, com as mesmas credenciais.
Voltar ao topo